Cinco etapas para lidar com uma abordagem integrada para atender aos requisitos da LGPD

Companhias podem superar desafios e aproveitar as oportunidades com que vão se deparar para atender às regulamentações previstas pela lei, avalia o SAS

Com o objetivo de oferecer diretrizes para que as empresas sejam bem-sucedidas na adequação de suas operações à Lei Geral de Proteção de Dados (LGPD), o SAS, líder mundial em analytics, apontou como as companhias podem superar os maiores desafios e aproveitar as oportunidades com que vão se deparar para atender às regulamentações previstas em lei. A nova legislação tem por objetivo aumentar a privacidade dos dados pessoais e o poder das entidades reguladoras para fiscalizar as organizações públicas e privadas na coleta e no uso dessas informações, e passou a vigorar em 18 de setembro último no Brasil.

"A nova definição de dados pessoais é um indicativo do tom dessas novas regras", afirma Kalliopi Spyridaki, estrategista-chefe de Privacidade do SAS. "Os dados pessoais são considerados ativos cada vez mais valiosos. E as exigências e obrigações acerca desses ativos estão aumentando consideravelmente. Não por coincidência, isso acontece ao mesmo tempo em que computação em nuvem, big data e Internet das Coisas se tornam tendências tecnológicos."

Para que as empresas possam tirar o máximo de proveito e eficiência em seus negócios a partir da gestão responsável do manuseio de dados, o SAS apontou cinco etapas para que essas possam lidar com uma abordagem integrada no cumprimento aos requisitos da LGPD. Veja:

Acesso

Para atender à LGPD, as empresas não podem contar com o senso comum ou imaginar onde os dados pessoais possam estar. A regulamentação requer que as organizações provem que sabem exatamente onde os dados estão - e onde não estão. Isso torna importante o acesso a todas as fontes de informação. Independente da tecnologia empregada - bancos de dados tradicionais, dados estruturados e não-estruturados, dados móveis e imóveis - É preciso investigar e auditar quais dados pessoais estão sendo armazenados e utilizados. O acesso irrestrito a todas as fontes de dados é um pré-requisito para a construção de um inventário de dados pessoais que permita avaliar sua exposição ao risco de segurança e aplicar regras de privacidade por toda a empresa.

Identificação

Uma vez que as empresas tenham acesso a todas as fontes de dados, é necessário identificar os dados pessoais encontrados em cada uma delas. Frequentemente, dados pessoais são enterrados em áreas semi-estruturadas. É preciso analisar essas áreas para extrair, categorizar e catalogar elementos como nomes, e-mails, endereços e documentos pessoais. Considerando o volume de dados, esse processo de organização deve ser automatizado. E analisar e classifica-los é insuficiente - também é necessário acomodar diferentes níveis de qualidade de dados. Reconhecimento de padrões,  regras e padronização de qualidade são elementos essenciais  nesse processo. Contar com as ferramentas certas seguramente fará uma grande diferença na capacidade de uma organização de atender ao prazo da LGPD.

Governança

Compreender dados pessoais começa com a capacidade de definir seu significado e, na sequência, compartilhar esse conhecimento com toda a organização. Para a LGPD, regras de privacidade precisam ser documentadas e compartilhadas entre todas as linhas de negócio. Essa é a maneira de garantir que os dados pessoais só possam ser acessados por aqueles com autorização, com base na natureza dos dados, os direitos associados aos grupos de usuários e o contexto de uso. Para atingir isso, funções e definições devem ser estabelecidas em um modelo de governança. Só então é possível conectar regras de negócio a fontes de dados físicos e estabelecer conjuntos de dados que vão desde a sua criação até o momento de utilização. Isso lhe garante o nível necessário de controle sobre os dados.

Proteção

Depois de estabelecido o inventário de dados pessoais e os modelos de governança, é hora de definir o nível correto de proteção para os dados. As empresas podem usar três técnicas para protegê-los:

  • Anonimização: remove dos dados as informações que permitem a identificação e sua associação a um indivíduo;
  • Pseudomização: substitui nos dados as informações que permitem a identificação pessoal;
  • Criptografia: codifica as informações que permitem a identificação pessoal.

É preciso empregar a técnica apropriada a partir dos direitos do usuário e do contexto de uso - sem comprometer sua necessidade crescente de análise, previsão, investigação e criação de relatórios. O jeito mais fácil de fortalecer a privacidade dos dados é, na verdade, usar o botão de apagar, mantendo apenas aquelas informações primordiais para a execução de processos de negócio essenciais e análises de valor agregado.

Auditoria

Outro elemento vital da LGPD é a auditoria. Nesse estágio, o regulador irá requisitar provas de que a organização:

  • Sabe quais dados pessoais ela mantém e onde eles estão localizados;
  • Gerencia corretamente o processo de requisição de consentimento dos indivíduos envolvidos;
  • Rastreia e documenta como os dados pessoais são utilizados, quem os utiliza, e com que propósito;
  • Tem os processos apropriados em funcionamento para gerenciar o direito de cliente de ser esquecido. comunicado sobre eventuais violações de dados, entre outros.

Implementar a LGPD afetará de maneira geral as organizações. Será necessário voltar à estaca zero e repensar como lidar com dados pessoais desde o momento em que eles são gerados até quando são utilizados. Também é preciso considerar como a estrutura de gestão e governança de dados das empresas suportará os requerimentos da LGPD.

Sobre o SAS

O SAS é o líder de mercado em Analytics e a maior empresa de software de capital fechado do mundo. Fundada em 1976, suas soluções são usadas em mais de 80 mil empresas em todo o planeta, incluindo 93 das top 100 companhias listadas na Fortune Global 500. No Brasil, o SAS está presente desde 1996 com escritórios em São Paulo (SP), Rio de Janeiro (RJ) e Brasília (DF), atuando em setores como finanças, telecomunicações, varejo, energia, governo, educação, entre outros. A empresa também é mundialmente reconhecida por suas boas práticas de Recursos Humanos, inclusive no Brasil, onde foi incluída seis vezes consecutivas entre os três melhores empregadores do país pelo ranking Top Employers Institute. Confira o site: www.sas.com/pt_br

Contato editorial:

Back to Top